Obrazek GIF mógł wykradać dane. Luka w Microsoft Teams

Badacze z CyberArk odkryli sposób, w jaki hakerzy mogli naruszyć konta i wykraść dane za pomocą animowanego obrazka GIF. Lukę wykryto na uznawanej dotąd za bezpieczną platformie Microsoft Teams, często wykorzystywanej w pracy zdalnej.

Publikacja: 28.04.2020 21:17

Obrazek GIF mógł wykradać dane. Luka w Microsoft Teams

Foto: Bloomberg

Aplikacja do wideokonferencji i udostępniania plików znalazła się celowniku hakerów. Ci – za pomocą spreparowanego GIF-a – mogli wykraść dane użytkownika aplikacji, a następnie przejąć kontrolę nad wszystkimi kontami pozostałych członków zespołu pracujących z Microsoft Teams.

Co ciekawe eksperci CyberArk odkryli, iż użytkownicy platformy nawet nie musieli udostępniać niebezpiecznego GIF-a, wystarczyło jedynie go wyświetlić poprzez Microsoft Teams, po czym złośliwy obrazek automatycznie rozprzestrzeniał się po sieci.

CZYTAJ TAKŻE: Bezpieczne twarzą w twarz. Jakie aplikacje do wideokonferencji wybrać

– To wyjątkowo groźna forma ataku. Sam fakt, iż samo wyświetlenie obrazka infekuje konto użytkownika, budzi niepokój. Sposób i tempo rozsiewania złośliwego GIF-a na inne firmowe konta znacznie ułatwia przejęcie kontroli nad członkami zespołu – mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

I wylicza: cyberprzestępca korzystający z tej formy ataku mógł zyskać dostęp do wszystkich danych z kont użytkowników Microsoft Teams, gromadząc poufne informacje np. kalendarze spotkań, hasła, czy biznesplany.

CyberArk poinformował Microsoft o istnieniu luki 23 marca. W ciągu miesiąca Microsoft wprowadził niezbędne poprawki. Firma twierdzi, iż nie ma żadnych dowodów na to, że luka ta została wykorzystana przez przestępców.

IT

Aplikacja do wideokonferencji i udostępniania plików znalazła się celowniku hakerów. Ci – za pomocą spreparowanego GIF-a – mogli wykraść dane użytkownika aplikacji, a następnie przejąć kontrolę nad wszystkimi kontami pozostałych członków zespołu pracujących z Microsoft Teams.

Co ciekawe eksperci CyberArk odkryli, iż użytkownicy platformy nawet nie musieli udostępniać niebezpiecznego GIF-a, wystarczyło jedynie go wyświetlić poprzez Microsoft Teams, po czym złośliwy obrazek automatycznie rozprzestrzeniał się po sieci.

2 / 3
artykułów
Czytaj dalej. Subskrybuj
Materiał Promocyjny
Czy AI może stworzyć stronę internetową?
Materiał Promocyjny
Mity i fakty - Czy to prawda, że elektryczne auta palą się częściej niż spalinowe?
IT
Patronat "Rzeczpospolitej". Na ścieżce do medycznej przyszłości
Materiał partnera
Women in Tech Summit. Polska będzie producentem półprzewodników
Materiał partnera
AI w bankowości to szanse i wyzwania
IT
Cios Joe Bidena w rosyjską firmę Kaspersky. Jest totalny zakaz
IT
Women in Tech Summit. Sztuczna inteligencja może być używana w niemal każdym biznesie